内部审计部门，从组织结构上向财务总监而不是审计委员会报告，最有可能（）。

单项选择题内部审计部门，从组织结构上向财务总监而不是审计委员会报告，最有可能（）。

A.导致对其审计独立性的质疑
B.报告较多业务细节和相关发现
C.加强了审计建议的执行
D.在建议中采取更对有效行动

1.单项选择题测试程序变更管理流程时，安全管理体系内审员使用的最有效的方法是（）。

A.由系统生成的信息跟踪到变更管理文档
B.检查变更管理文档中涉及的证据的精确性和正确性
C.由变更管理文档跟踪到生成审计轨迹的系统
D.检查变更管理文档中涉及的证据的完整性

2.单项选择题下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的？（）

A.服务器防毒软件
B.病毒墙
C.工作站防病毒软件
D.病毒库及时更新

3.单项选择题管理体系审计员进行通信访问控制审查，首先应该关注（）。

A.维护使用各种系统资源的访问日志
B.在用户访问系统资源之前的授权和认证
C.通过加密或其他方式对存储在服务器上数据的充分保护
D.确定是否可以利用终端系统资源的责任制和能力

4.单项选择题信息安全策略，声称“密码的显示必须以掩码的形式”的目的是防范下面哪种攻击风险？（）

A.尾随
B.垃圾搜索
C.肩窥
D.冒充

5.单项选择题在安全人员的帮助下，对数据提供访问权的责任在于（）。

A.数据所有者
B.程序员
C.系统分析师
D.库管员

6.单项选择题通过社会工程的方法进行非授权访问的风险可以通过以下什么方法避免？（）

A.安全意识程序
B.非对称加密
C.入侵侦测系统
D.非军事区

7.单项选择题下面哪一种是最安全和最经济的方法，对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络？（）

A.虚拟专用网
B.专线
C.租用线路
D.综合服务数字网

8.单项选择题在人力资源审计期间，安全管理体系内审员被告知在IT 部门和人力资源部门中有一个关于期望的IT 服务水平的口头协议。安全管理体系内审员首先应该做什么？（）

A.为两部门起草一份服务水平协议
B.向高级管理层报告存在未被书面签订的协议
C.向两部门确认协议的内容
D.推迟审计直到协议成为书面文档

9.单项选择题减少与钓鱼相关的风险的最有效控制是（）。

A.系统的集中监控
B.钓鱼的信号包括在防病毒软件中
C.在内部网络上发布反钓鱼策略
D.对所有用户进行安全培训

10.单项选择题某组织的信息系统策略规定，终端用户的ID 在该用户终止后90天内失效。组织的信息安全内审核员应（）。

A.报告该控制是有效的，因为用户ID失效是符合信息系统策略规定的时间段的
B.核实用户的访问权限是基于用所必需原则的
C.建议改变这个信息系统策略，以保证用户ID的失效与用户终止一致
D.建议终止用户的活动日志能被定期审查